Controladores firmados por Microsoft ayudaron a hackers a romper las defensas

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Sophos X-Ops Rapid Response (RR) descubrió recientemente pruebas que demuestran que los actores de amenazas que podrían pertenecer a la banda de ransomware, Cuba, utilizaron controladores de hardware maliciosos certificados por el Programa de desarrollo de hardware de Windows de Microsoft en un intento de ataque de ransomware.

Los controladores, el software que permite que los sistemas operativos y las aplicaciones accedan a los dispositivos de hardware y se comuniquen con ellos, requieren un acceso altamente privilegiado al sistema operativo y sus datos, razón por la cual Windows requiere que los controladores tengan una firma criptográfica aprobada antes de permitir que se cargue el controlador.

Sin embargo, hace tiempo que los ciberdelincuentes han encontrado enfoques para explotar las vulnerabilidades encontradas en los controladores de Windows existentes de los editores de software legítimos. Estos piratas informáticos hacen un esfuerzo por ascender progresivamente en la pirámide de confianza, utilizando claves criptográficas cada vez más confiables para firmar digitalmente sus controladores.

Sophos, junto con investigadores de Mandiant y SentinelOne, propiedad de Google, advirtieron a Microsoft sobre estos controladores maliciosos firmados que se estaban plantando en máquinas específicas utilizando una variante de la utilidad de carga BurntCigar. Luego, estos dos trabajaron en conjunto para eliminar los procesos asociados con los productos antivirus (AV) y de detección y respuesta de punto final (EDR).

"El análisis continuo del Centro de inteligencia de amenazas de Microsoft indica que los controladores maliciosos firmados probablemente se usaron para facilitar la actividad de intrusión posterior a la explotación, como la implementación de ransomware", dijo Microsoft en un aviso publicado como parte de su lanzamiento mensual programado de parches de seguridad, conocido como Parche de Martes.

A la izquierda hay una firma válida identificada por Mandiant – A la derecha hay una firma válida identificada por Sophos

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Microsoft concluyó su investigación afirmando que "no se ha identificado ningún compromiso" y procedió a suspender las cuentas de vendedor de los socios. Además, lanzaron actualizaciones de seguridad de Windows para revocar los certificados abusados.

En la publicación de blog de SentinelOne, la empresa de seguridad informó que había visto varios ataques en los que un actor de amenazas usó controladores maliciosos firmados para evadir productos de seguridad que generalmente confían en componentes firmados por Microsoft.

Se observó que los actores de amenazas se dirigían a organizaciones en los sectores de subcontratación de procesos comerciales (BPO), telecomunicaciones, entretenimiento, transporte, MSSP, finanzas y criptomonedas y, en algunos casos, el objetivo final era el intercambio de SIM.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Se identificó que el grupo Cuba Ransomware estaba involucrado en la obtención de $60 millones de los ataques contra 100 organizaciones en todo el mundo, según un aviso conjunto a principios de este mes de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) y el FBI.

El aviso también incluyó advertencias sobre el grupo de ransomware que ha estado activo desde 2019 y continúa atacando entidades estadounidenses en su infraestructura crítica, incluidos servicios financieros, instalaciones gubernamentales, atención médica y salud pública, y tecnología de información y fabricación crítica.

Esta no es la primera vez que los actores de amenazas utilizan controladores firmados por Microsoft en sus operaciones, tal como lo conocemos, y parece que poner fin a esta práctica no ha sido una tarea fácil para Microsoft.

Fuente:
HackRead
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta